页面加载中...
专注真实风险的代码和系统安全审查工具。覆盖注入攻击、XSS、路径穿越、不安全反序列化、认证授权缺陷、密钥管理等核心安全领域,拒绝制造恐慌式误报。
快速安装
确保已安装 clawhub CLI
clawhub install code-security-review专注真实风险的代码安全审查——报告真正的安全漏洞,而非制造恐慌式误报。
传统安全扫描工具的最大问题是误报率过高——动辄报告数十个"风险",其中绝大多数是理论上的可能性而非真实可利用的漏洞。Code Security Review 反其道而行:只报告经确认的真实风险。
审查哲学:
| 领域 | 检测项 |
|---|---|
| 注入攻击 | SQL 注入、命令注入、LDAP 注入、模板注入 |
| XSS | 反射型、存储型、DOM 型跨站脚本 |
| 路径穿越 | 文件读写越权、目录遍历 |
| 反序列化 | 不安全的 pickle/yaml/json 反序列化 |
| 认证缺陷 | 弱密码策略、会话管理、OAuth 配置错误 |
| 授权漏洞 | IDOR、权限提升、RBAC 绕过 |
| 密钥管理 | 硬编码密钥、不安全的密钥存储和传输 |
| 加密问题 | 弱算法、ECB 模式、固定 IV、密钥复用 |
Skill 包含 结构化审查清单,覆盖从输入验证到部署安全的全生命周期检查点。清单按风险等级分组:
提示:此 Skill 不替代自动化 SAST/DAST 工具,而是作为 AI Agent 的安全审查上下文补充。结合 Semgrep/SonarQube 等工具效果更佳。
版本
v1.0.0
作者
openlark
平台
发布时间
2026年5月10日
全能协议分析工具:浏览器抓包 + MITM 代理 + JS Hook + 指纹伪装 + AI 分析 + MCP Server,一条龙逆向分析。2100+ Stars。
生产级安全情报 MCP 服务器,27 个工具覆盖 21 个 API:CVE 查询、EPSS 评分、CISA KEV、MITRE ATT&CK、Shodan、VirusTotal 等。